MS03-031: Sikkerhedsrettelse til SQL Server 7,0 Service Pack 4

Oversættelser af artikler Oversættelser af artikler
Artikel-id: 821279 - Få vist de produkter, som denne artikel refererer til.
Denne artikel er blevet arkiveret. Den vises "som den er og forefindes" og opdateres ikke længere.
Udvid alle | Skjul alle

På denne side

Sammenfatning

Denne artikel fra Microsoft Knowledge Base indeholder oplysninger om udgivelsen af en sikkerhedsrettelse til SQL Server 7.0 Service Pack 4 (SP4) og Microsoft Data Engine 1.0 SP4. Denne sikkerhedsrettelse erstatter alle tidligere sikkerhedsrettelser, der er dokumenteret i følgende artikel i Microsoft Knowledge Base, herunder sikkerhedsrettelsen til Microsoft Security Bulletin MS02-061 for SQL Server 7.0:
327068 SQL Server 7.0-sikkerhedsopdatering til Service Pack 4. Artiklen er evt. på engelsk.

Vigtige bemærkninger

Denne kumulative pakke indeholder ikke sikkerhedsrettelserne, der findes i Microsoft Data Access Components (MDAC) og SQL Server Analysis Services.

Sikkerhedsrettelsen afhjælper følgende svagheder:
  • Kapring af navngiven pipe
    Når SQL Server startes, oprettes der en specifik navngiven pipe, som programmet derefter lytter på for at registrere indgående forbindelser til serveren. En navngiven pipe er en specifikt navngivet envejs- eller tovejskanal til kommunikation mellem en pipe-server og en eller flere pipe-klienter. SQL Server bruger den navngivne pipe til at kontrollere, hvilke forbindelser der kan logge på systemet med SQL Server og køre forespørgsler i data, som er lagret på serveren.

    Der findes en fejl i den metode, som bruges til at kontrollere den navngivne pipe. Denne fejl kan give en angriber, der har lokaladgang til systemet med SQL Server, mulighed for at kapre (få kontrol over) den navngivne pipe, når en anden klient bruger en godkendt logonadgangskode. Herved bliver angriberen i stand til at kontrollere den navngivne pipe på det tilladelsesniveau, som er tildelt den bruger, der forsøger at oprette forbindelse. Hvis den bruger, der forsøger at oprette fjernforbindelse, har adgang til et højere niveau end angriberen, får angriberen disse rettigheder, når den navngivne pipe angribes.
  • Denial of Service for navngiven pipe
    I afsnittet Kapring af navngiven pipe i denne bulletin beskrives en situation, hvor en ikke-godkendt bruger med lokaladgang til intranettet sender en meget stor pakke til en specifik navngiven pipe, som computeren, der kører SQL Server, lytter på, således at systemet holder op med at svare.

    Denne sikkerhedssvaghed giver ikke en eventuel hacker mulighed for at køre vilkårlig kode eller opnå et højere tilladelsesniveau. Der kan dog alligevel forekomme en Denial-Of-Service-situation, hvor du er nødt til at genstarte serveren for at reetablere funktionen.
  • Bufferoverløb i SQL Server
    Der findes en fejl i en specifik Windows-funktion, som kan give en godkendt bruger med direkte adgang til at logge på det system, der kører SQL Server, mulighed for at oprette en særligt bedragerisk udformet pakke, som kan medføre bufferoverløb, når den sendes til systemets LPC-aflytningsport (Local Procedure Call). Hvis denne sikkerhedssvaghed udnyttes, kan en bruger med begrænsede systemtilladelser opnå tilladelser på SQL Server-tjenestekontoniveau eller køre vilkårlig kode.

Yderligere Information

Vigtige bemærkninger

Læs følgende vigtige bemærkninger om installationen af sikkerhedsrettelsen på en computer, der kører SQL Server 7.0 SP4.

Der kommer fejlmeddelelse, når du opretter forbindelse til en Microsoft Windows NT 4.0-baseret computer ved at benytte navngivne pipes

Hvis du opretter forbindelse til en Windows NT 4.0-baseret computer, der kører SQL Server 7.0 ved hjælp af navngivne pipes, og hvis forbindelsen er oprettet af en bruger uden administratorrettigheder, modtager du muligvis en fejlmeddelelse, der ligner en af følgende meddelelser:
Meddelelse 1
Forbindelsen kunne ikke oprettes. SQL Server findes ikke
Meddelelse 2
Forbindelsen kunne ikke oprettes. Adgang nægtet.
Du kan få adgang til den programrettelse, der løser denne fejl, via følgende artikel i Microsoft Knowledge Base:
823492 "Connection could not be established" error message when you connect to a Windows NT 4.0-based computer that is running SQL Server 2000 or SQL Server 7.0. Artiklen er evt. på engelsk.

Forudsætninger

Denne sikkerhedsrettelse kræver SQL Server 7.0 SP4.

Yderligere oplysninger finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
301511 Sådan får du den nyeste servicepakke til SQL Server 7.0. Artiklen er evt. på engelsk.
Ved klyngeopdelte installationer af SQL Server 7.0 skal du først fjerne klyngeopdelingen af SQL Server ved at køre guiden SQL Server Failover Wizard fra den primære klyngenode for hver enkelt virtuel SQL Server.
Aktiv/aktiv
Følg disse trin for at opnå en Aktiv/aktiv-installation:
  1. Kontroller, at computernoden, hvor SQL Server 7.0 oprindeligt blev installeret, styrer begge SQL Server-ressourcegrupper.
  2. På hver enkelt node i klyngen skal du køre guiden Failover Setup for at fjerne den virtuelle SQL Server.
  3. Når du har fjernet klyngeopdelingen af SQL Server, skal du køre hotfix-installationsprogrammet på begge noder og gennemføre hotfix-installationen, før du igen klyngeopdeler SQL Server.
Aktiv/passiv
Følg disse trin for at opnå en Aktiv/passiv-installation:
  1. Kontroller, at computernoden, hvor SQL Server 7.0 oprindeligt blev installeret, styrer SQL Server-ressourcerne.
  2. På denne samme computernode skal du køre guiden Failover Setup for at fjerne den virtuelle SQL Server.
  3. Når du har fjernet klyngeopdelingen af SQL Server, skal du køre hotfix-installationsprogrammet på udelukkende den primære node og gennemføre hotfix-installationen, før du igen klyngeopdeler SQL Server.

Overførselsoplysninger

Følgende fil kan hentes fra Microsoft Download Center:
Skjul billedetUdvid billedet
Hent
Hent pakken med sikkerhedsrettelsen MS03-031 til SQL Server 7.0 nu.
Udgivelsesdato: 23.07.03

Yderligere oplysninger om, hvordan du henter Microsoft-supportfiler, finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
119591 Sådan hentes Microsoft-supportfiler på onlinetjenester
Microsoft har scannet denne fil for virus. Microsoft har anvendt de nyeste antivirusprogrammer, der var tilgængelige på det tidspunkt, da filen blev lagt ud. Filen gemmes på servere med forbedret sikkerhed, der medvirker til at forhindre uautoriserede ændringer af filen.

Installationsoplysninger

Denne sikkerhedsrettelse understøtter følgende installationsparametre.
Skjul tabellenUdvid tabellen
ParameterBeskrivelse
/sDeaktiverer dialogboksen med status over Selvudpakning. Skal angive før parameteren /a.
/aDenne parameter skal komme før alle andre parametre, bortset fra /s, hvis du kører hotfix-rettelsen ved hjælp af den selvudpakkende EXE-fil og vil medtage parametre for fuldautomatiske installationer. Det er obligatorisk at angive denne parameter, hvis installationsprogrammet skal køre i uovervåget tilstand.
/qDenne parameter får installationsprogrammet til at køre i uovervåget tilstand uden nogen brugergrænseflade.
BLANKSAPWD Denne parameter betyder, at sa-adgangskoden til SQL-godkendelse er tom. Hvis du indtaster denne parameter på computere, der kører Windows NT eller Windows 2000, tilsidesættes standardlogon for Windows-godkendelse, og der forsøges at logge på med en tom sa-adgangskode. Den korrekte syntaks for denne parameter er BLANKSAPWD=1. Parameteren anerkendes kun ved uovervågede installationer.
SAPWDIkke-tom sa-adgangskode. Hvis du angiver denne parameter, skal det være med syntaksen SAPWD=yoursapassword. Hvis denne parameter angives, tilsidesættes standard Windows-godkendelse på computere, der kører Windows NT eller Windows 2000 eller BLANKSAPWD.
Yderligere oplysninger finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
330391 Hotfix-installationsprogram til SQL Server. Artiklen er evt. på engelsk.

Krav om genstart

Du behøver ikke at genstarte computeren, når du har installeret denne sikkerhedsrettelse, medmindre du bedes om det af hotfix-installationsprogrammet.

Oplysninger om fjernelse

Fjernelse af denne sikkerhedsrettelse er ikke understøttet, medmindre bestemte kataloger blev sikkerhedskopieret før installation af denne sikkerhedsrettelse. Yderligere oplysninger finder du i afsnittet om, hvordan du fjerner eller gendanner hotfixet ("How to Remove or Rollback the Hotfix") i følgende artikel i Microsoft Knowledge Base:
330391 Hotfix-installationsprogram til SQL Server. Artiklen er evt. på engelsk.

Oplysninger om erstatning af sikkerhesrettelse

Denne sikkerhedsrettelse erstatter alle tidligere sikkerhedsrettelser, der er dokumenteret i følgende artikel i Microsoft Knowledge Base, herunder sikkerhedsrettelsen til Microsoft Security Bulletin MS02-061 for SQL Server 7.0:
327068 SQL Server 7.0-sikkerhedsopdatering til Service Pack 4. Artiklen er evt. på engelsk.

Filoplysninger

Den engelske version af denne pakke indeholder de filattributter (eller nyere filattributter), der er angivet i nedenstående tabel. Dato og klokkeslæt for disse filer er angivet i UTC-format (Universal Time Coordinates). Når du får vist filoplysningerne, konverteres de til lokal tid. Klik på fanen Tidszone under elementet Dato og klokkeslæt i Kontrolpanel for at finde forskellen mellem UTC og lokal tid.
   Dato         Klokkeslæt   Version        Størrelse        Filnavn
   -----------------------------------------------------------------------
   04-Oct-2002  23:59  2000.34.4.0        28,944 bytes  Dbmssocn.dll     
   06-Sep-2002  23:55  2000.33.6.0        53,520 bytes  Distrib.exe      
   06-Sep-2002  23:55  2000.33.6.0        98,576 bytes  Logread.exe
   05-May-2003  18:34                     54,904 bytes  Opends60.dbg
   05-May-2003  18:34  2000.41.2.0       155,920 bytes  Opends60.dll
   05-May-2003  18:34                    132,096 bytes  Opends60.pdb
   06-Sep-2002  23:56  2000.33.6.0       250,128 bytes  Rdistcom.dll
   06-Sep-2002  23:55  2000.33.6.0        82,192 bytes  Replmerg.exe
   06-Sep-2002  23:56  2000.33.6.0        78,096 bytes  Replres.dll      
   17-Sep-2002  22:52                      7,941 bytes  Securityhotfix.sql
   06-Sep-2002  23:56  2000.33.6.0       160,016 bytes  Snapshot.exe     
   30-May-2003  04:21                     59,214 bytes  Sp4_serv_uni.sql
   15-Jan-2003  01:33  2000.37.13.0      344,064 bytes  Sqlagent.exe     
   06-Sep-2002  23:55  2000.33.6.0        45,056 bytes  Sqlcmdss.dll     
   16-May-2003  00:18  2000.41.14.0    2,629,632 bytes  Sqldmo.dll       
   16-May-2003  13:29  2000.41.14.0       81,920 bytes  Sqlmap70.dll     
   29-May-2003  23:11                  4,370,404 bytes  Sqlservr.dbg
   30-May-2003  02:44  2000.41.28.0    5,062,928 bytes  Sqlservr.exe     
   29-May-2003  23:11                  3,589,120 bytes  Sqlservr.pdb
   04-Oct-2002  23:59  2000.34.4.0        45,328 bytes  Ssmsso70.dll     
   16-May-2003  00:18  2000.41.14.0       24,848 bytes  Ssnmpn70.dll     
   26-Sep-2002  20:30                     28,408 bytes  Ums.dbg
   26-Sep-2002  20:27  2000.33.25.0       57,616 bytes  Ums.dll          
   26-Sep-2002  20:29                     99,328 bytes  Ums.pdb
   16-May-2003  13:31  2000.41.14.0      151,552 bytes  Xpweb70.dll

Kontrol

For at fastslå, hvilken version af SQL Server du kører, kan du bruge oplysningerne i følgende Microsoft Knowledge Base-artikel:
321185 Sådan identiticerer du din SQL Server-version og udgave. Artiklen er evt. på engelsk.
Når du har installeret denne sikkerhedsrettelse, returneres "7.00.1094", når du kører en af følgende SELECT-sætninger:
SELECT serverproperty('productversion') 
SELECT @@Version

Referencer

Yderligere oplysninger om denne sikkerhedsrettelse finder du på følgende Microsoft-websted:
http://www.microsoft.com/technet/security/bulletin/MS03-031.mspx

Egenskaber

Artikel-id: 821279 - Seneste redigering: 27. februar 2014 - Redigering: 7.1
Oplysningerne i denne artikel gælder:
  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
Nøgleord: 
kbnosurvey kbarchive atdownload kbfix kbbug kbsqlserv700presp5fix KB821279

Send feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com